Posted By ASEC , 2023년 2월 7일

ASEC 주간 악성코드 통계 (20230130 ~ 20230205)

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2023년 1월 30일 월요일부터 2월 5일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다.

대분류 상으로는 다운로더가 39.3%로 1위를 차지하였으며, 그 다음으로는 인포스틸러가 28.8%, 이어서 백도어 27.0%, 랜섬웨어 2.6%, 코인마이너 2.2%로 집계되었다.

Top 1 – SmokeLoader

Smokerloader는 인포스틸러 / 다운로더 악성코드이며 익스플로잇 킷을 통해 유포된다. 이번 주는 19.9%를 차지하며 1위에 올랐다. 익스플로잇 킷을 통해 유포되는 다른 악성코드와 마찬가지로 MalPe 외형을 갖는다.

실행되면 explorer.exe에 자기 자신을 인젝션하게 되고, 실제 악성 행위는 이 explorer.exe에 의해 수행된다. C&C 서버에 접속한 후 명령에 따라 추가 모듈을 다운로드할 수도 있고, 또 다른 악성코드를 다운로드할 수도 있다. 추가 모듈의 경우 다운로드되는 모듈 대부분은 인포스틸러 기능을 담당하며, 자식 프로세스로 explorer.exe를 생성하여 모듈을 인젝션하여 동작시킨다.

Smoke Loader와 관련된 분석 보고서는 아래의 ASEC 리포트 내에 존재한다.

[PDF] ASEC REPORT vol.101_한층 업그레이드된 최신판 스모크로더(Smoke Loader), 전격해부

다음은 확인된 C&C 서버 주소들이다.

potunulit[.]org
hutnilior[.]net
bulimu55t[.]net
soryytlic4[.]net
novanosa5org[.]org
nuljjjnuli[.]org
tolilolihul[.]net
somatoka51hub[.]net
hujukui3[.]net
bukubuka1[.]net
golilopaster[.]org
newzelannd66[.]org
otriluyttn[.]org
host-file-host6[.]com
host-host-file8[.]com
mightys[.]at/tmp/
mupsin[.]ru/tmp/
channelpi[.]com/tmp/
mordo[.]ru/tmp/
c3g6gx853u6j[.]xyz
04yh16065cdi[.]xyz
33qd2w560vnx[.]xyz
neriir0f76gr[.]com
b4y08hrp3jdb[.]com
swp6fbywla09[.]com
7iqt53dr345u[.]com
mj4aj8r55mho[.]com
ne4ym7bjn1ts[.]com

Top 2 – BeamWinHTTP

18.0%로 2위를 차지한 BeamWinHTTP는 다운로더 악성코드이다. PUP 설치 프로그램으로 위장한 악성코드를 통해 유포되는데, BeamWinHTTP가 실행되면 PUP 악성코드인 Garbage Cleaner를 설치하고, 동시에 추가 악성코드를 다운로드하여 설치할 수 있다.

나 몰래 악성코드가 설치된다고?! BeamWinHTTP 악성코드! – ASEC BLOG

ASEC 분석팀에서 매주 게시하고 있는 주간 악성코드 통계에서도 확인되듯, 최근들어 다운로더형 악성코드인 BeamWinHTTP가 몇 주 사이에 눈에 띄게 많이 발생하고 있다. 지난 ASEC 주간 악성코드 통계에 따르면 BeamWinHTTP 악성코드는 Top 3으로 분류될 정도로 많은 유포가 이루어지고 있으며, 실행할 때마다 각기 다른 악성코드를 다운로드하고 있기 때문에 각별한 주의가 필요하다. BeamWinHTTP 악성코드는 PUP 설치 프로그램에 의해 실행되어지는데, 사용자들은 웹 상에서 자신이 원하는 프로그램을 설치하려다 아래와…

다음은 확인된 C&C 서버 주소이다.

45.12.253[.]51/publisher.php
45.12.253[.]56/advertisting/plus.php

Top 3 – Formbook

Formbook 악성코드는 14.6%로 3위를 기록하였다.

메일을 통해 유포 중인 새로운 버전의 Formbook 악성코드 – ASEC BLOG

Formbook은 Infostealer 유형의 악성코드로, 주로 메일의 첨부파일을 통해 유포되며 유포량이 매우 많다. ASEC 블로그에도 관련 게시글을 여러 차례 게시하였다. Formbook 악성코드의 C2 통신 방식 견적서/발주서 제목의 정보유출 악성코드(Formbook) 주의! ASEC 분석팀은 최근 Formbook 악성코드가 이메일을 통해 새로운 버전으로 유포 중인 것을 확인했다. 기존 Formbook 악성코드는 내부에 버전을 의미하는 숫자가 “4.1” 이었지만 최근 유포 중인 Formbook 악성코드는 “2.3”을 사용한다.…

다른 인포스틸러 악성코드들과 동일하게 대부분 스팸 메일을 통해 유포되며 유포 파일명도 유사하다.

TT Swift ($ 23,506.50) 19.01.23_jpg.exe
E-FCR Docs_pdf.exe
HSBC Account Statement 03FEB2023_pdf.exe
RFQ-20000 TO 500000 MTBARELLS TEST by SGSPDF.exe
Invoice.exe
MV GOLDEN BRIGHT_VESSEL DESCRIPTION.exe
INV.exe
REQ-22-TM-04211.exe
HSBC Payment Advice_pdf.exe
JAN SOA PAYMENT.exe

Formbook 악성코드는 현재 실행 중인 정상 프로세스인 explorer.exe 및 system32 경로에 있는 또 다른 정상 프로세스에 인젝션함에 따라 악성 행위는 두 정상 프로세스에 의해 수행된다. 웹 브라우저의 사용자 계정 정보 외에도 키로깅, Clipboard Grabbing, 웹 브라우저의 Form Grabbing 등 다양한 정보를 탈취할 수 있다.

Formbook 악성코드의 C2 통신 방식 – ASEC BLOG

대다수의 악성코드는 공격자의 명령 수신과 추가 악성 행위를 위해 C2(Command & Control server)를 활용한다. 공격자의 입장에서는 AV 제품의 감시망을 뚫고 사용자 PC에 악성코드를 감염시켜도 C2 접속이 차단되면 무용지물이다. 따라서 C2 정보 파악을 어렵게 하기 위해 가짜 C2와 통신을 하거나, 단 한 개라도 작동을 보장하기 위해 많은 수의 C2를 사용하는 등의 다양한 기법을 사용한다. Formbook 악성코드는 이렇게 C2 파악이 어려운 대표적인 악성코드이다. 본 게시글에서는 Formbook 악성코드의 C2…

다음은 확인된 Formbook의 C&C 서버 주소이다.

hxxp://www.auskunfton[.]com/u8ow/
hxxp://www.bnhkit[.]xyz/d0a7/
hxxp://www.btexmo[.]xyz/ga23/
hxxp://www.domight[.]live/gune/
hxxp://www.domight[.]live/hyed/
hxxp://www.energybig[.]xyz/ghii/
hxxp://www.frykuv[.]xyz/sk29/
hxxp://www.genmanty[.]site/g44n/
hxxp://www.gvdxop[.]xyz/n10i/
hxxp://www.hexopb[.]xyz/sz17/
hxxp://www.koyesses[.]site/xprq/
hxxp://www.markmarket[.]live/m3ix/
hxxp://www.pertio[.]xyz/gs12/
hxxp://www.tumaqe[.]xyz/fh11/
hxxp://www.webventy[.]site/m5oe/

Top 4 – Quasar RAT

Quasar RAT은 닷넷으로 개발된 RAT 악성코드로서 오픈 소스로 공개되어 있음에 따라 다양한 공격자들이 사용하는 악성코드이다. 10.9%로 4위를 기록한 Quasar RAT은 과거 Kimsuky 그룹이 APT 공격에 사용한 이력부터 코인 마이너 공격자에 의해 사용되는 등 다양한 공격에 사용되고 있다.

Kimsuky 그룹의 xRAT(Quasar RAT) 유포 정황 – ASEC BLOG

2022년 1월 26일 ASEC 분석팀은 Kimsuky 공격 그룹에서 xRAT (Quasar RAT 기반의 오픈소스 RAT) 악성코드를 사용하는 정황을 포착하였다. xRAT Github 주소 : https://github.com/tidusjar/xRAT 자사 ASD(AhnLab Smart Defense) 인프라에 확보된 로그에 따르면 공격자는 Gold Dragon의 변종을 1월 24일 최초 감염 PC에 설치하였다. 확보된 파일이 Gold Dragon의 변종이라고 추정하는 근거는 다음과 같다. 기존 Gold Dragon이 사용하는 인…

이더리움 클래식 코인을 채굴하는 코인 마이너 공격 사례 – ASEC BLOG

Contents0. 개요1. 이더리움 코인 마이너 공격 사례1.1. 디스코드를 이용한 유포 사례1.2. dnSpy 툴을 위장한 공격 사례2. 이더리움 클래식 코인 마이너 공격 사례2.1. 이더리움 클래식으로의 변화A. 이더리움 클래식 코인 마이너B. ClipBankerC. Quasar RATD. Vidar InfoStealer3. 결론 ASEC 분석팀은 국내외를 대상으로 유포되고 있는 코인 마이너 악성코드들을 모니터링하고 있으며, 과거 다수의 블로그들을 통해 다양한 유형의 코인 마이너 악성코드 공격 사례를 소개한 바 있다. 최근에는…

다음은 Quasar RAT의 유포 파일명 목록으로서, 최근에는 주로 정상 프로그램의 크랙 버전으로 위장하여 유포되고 있다.

c0cain_lite.EXE
OpenBullet V 2.3.1.exe
Photo.exe
Battleye.jpg.exe
Power Point Presentation.exe
SunloginClient.exe
JJSploit_Installer.exe

Quasar RAT은 일반적인 RAT 악성코드들처럼 프로세스 및 파일, 레지스트리와 같은 시스템 작업, 원격 명령 실행, 파일 업로드 및 다운로드와 같은 기능들을 제공한다. Quasar RAT은 이외에도 키로깅, 계정 정보 수집 기능들을 제공하여 사용자 환경의 정보를 탈취할 수 있고, 원격 데스크탑을 통해 실시간으로 감염 시스템을 제어할 수 있다.

다음은 확인된 Quasar RAT의 C&C 서버 주소이다.

23.216.147[.]64:443
35.222.163[.]119:3741
79.119.149[.]174:4782
80.209.225[.]244:4420
fat-tx.at.ply[.]gg:14136

Top 5 – Redline

RedLine 악성코드는 5.6%로 5위를 기록하였다. RedLine 악성코드는 웹 브라우저, FTP 클라이언트, 암호화폐 지갑, PC 설정 등 다양한 정보를 탈취하며 C&C 서버로 부터 명령을 받아 추가 악성코드를 다운로드 할 수 있다. BeamWinHTTP와 마찬가지로 S/W 크랙 다운로드로 위장하여 유포되는 경우가 많다.

유튜브를 통해 유포 중인 RedLine 인포스틸러 – ASEC BLOG

ASEC 분석팀은 최근 RedLine 인포스틸러 악성코드가 크랙 프로그램 다운로드 링크로 위장한 유튜브 사이트를 통해 유포 중인 것을 확인하였다. RedLine은 정보 유출 악성코드로서 웹 브라우저 및 FTP 클라이언트 프로그램에 저장되어 있는 사용자 계정 정보나 스크린샷, 코인 지갑 주소 등 사용자 정보를 C&C 서버에 유출하는 기능을 갖는다. RedLine 악성코드가 최초로 확인된 것은 2020년 3월경으로 코로나 바이러스 이슈를 이용한 스팸 메일을 통해 유포된 것이 첫번째 사례이다. 이후부터 꾸준히 다양한 경로를 통해 유포되고…

다음은 확인된 RedLine의 C&C 서버 도메인이다.